Suomen kybervaste

Suomen kybervaste
Timo Kiravuo
Aalto-yliopisto
Sähkötekniikan korkeakoulu
Tietoliikenne- ja tietoverkkotekniikan laitos
[email protected]
Sisältö
• 
• 
• 
• 
• 
Tapahtuneita kyberhyökkäyksiä
Yhteiskunnan digitaalinen infrastruktuuri
Kyberaseiden arkkitehtuuri
Suomen kyberpuolustus
Suomen kybervaste
Mitä "kyber" tarkoittaa
•  Historia:
–  Kybernetiikka: säätötekniikka
•  Nykyään:
–  Kyber- : tieto- ja tietokonejärjestelmiin liittyvä
(Kyberturvallisuusstrategia 2013)
–  Kyber- : digitaalisiin järjestelmiin liittyvä (prof. Jukka Manner
2012)
•  Kattaa myös automaation ja sulautetut järjestelmät
Kyberhäirintä
• 
• 
• 
• 
• 
• 
Pronssisoturi-patsaan siirtäminen Tallinnassa 2007
Etelä-Ossetian sota 2008
Murtoja WWW-sivustoille
Palveluestohyökkäyksiä (DDoS)
Vaikutus: vähäinen
Potentiaali: vastustajan resurssien sitominen ja huomion
hajauttaminen, vrt. kevyt ratsuväki
•  Sivuvaikutus: NATO Cooperative Cyber Defence Centre
of Excellence (CCD COE) Tallinnaan
Kybertiedustelu:
Advanced Persistent Threat
•  "Titan Rain" -vakoiluhyökkäys 2003- USA-laisia
tietojärjestelmiä, mm. puolustusteollisuutta vastaan
•  Advanced: käytetään laajaa palettia keinoja, perinteisestä
tiedustelusta räätälöityihin hyökkäysohjelmiin
•  Persistent: hyökkäys kestää kunnes tavoite on saavutettu,
jopa vuosia
•  Threat: uhka on otettava vakavasti, hyökkääjällä keinot ja
motivaatio
•  APT tukee strategisia tavoitteita
Kybertiedustelu: NSA
•  National Security Agency (USA)
•  Massiivinen verkkotiedusteluoperaatio paljastui kesällä
2013
–  Pääsy USA-laisten palveluyritysten asiakkaiden tietoihin
•  Facebook, Google, Apple...
–  Takaportteja salausohjelmistoihin ja -standardeihin
•  Huono satunnaislukugeneraattori
•  Oletussalausalgoritmi "null" standardeissa
•  Muutoksia ohjelmakoodiin
Kyberhyökkäys: Stuxnet
• 
• 
• 
• 
• 
Täsmähyökkäysohjelmisto, itsekopioiva mato
Kohde: Iranin Natanzin uraaninrikastuslaitos
Tavoite: hidastaa Iranin ydinohjelmaa
Suorittaja: USA Israelin avustamana
Vaikutus: Iranin ydinohjelman hidastaminen usealla
vuodella; kineettisen hyökkäyksen välttäminen LähiIdässä
•  Operaatio, jolla selkeä strateginen tavoite
Stuxnetin tekniikka
•  Huolellisesti suunniteltu ja testattu
•  Aktivoituu vain oikeassa ympäristössä
•  Hyödyntää tunnettuja Windows-haavoittuvuuksia
päästäkseen rikastamon sentrifugien
ohjausjärjestelmään
•  Ohjaa kontrollerit käyttäytymään tavalla, joka rikkoo
laitteiston
•  Kertoo ohjausjärjestelmälle sentrifugeja ajettavan
normaaliparametrien mukaan (rootkit -toiminnallisuus)
•  Saatiin kohdeverkkon USB-muistitikulla
Fyysiset kyberjärjestelmät
•  Käytössä laaja kirjo erilaisia järjestelmiä, 1980-luvulta
alkaen
•  Fyysistä laitetta ohjaa usein ohjelmoitava logiikka
–  Kytketty Ethernet-verkkoon tai kenttäväylään
•  Näitä ohjaa tietokone (Windows, Unix, VMS tms.)
–  SCADA (Supervisory Control and Data Acquisition)
–  Yleensä kytketty lähiverkkoon ja mahd. Internetiin
•  Ohjaavat liikennettä, sähköverkkoa, teollisuutta jne.
[SAS29]
SCADA-järjestelmä
[NIST SP 800-82]
Arvio Stuxnetin projektiryhmästä
•  22-30
henkilöä
•  Lähde:
Kaspersky
Stuxnet-perhe
•  Vakoiluohjelmat Flame, Duqu ja Gauss
•  Modulaarisia ohjelmistoja, jotka käyttävät osittain samaa
koodialustaa
•  Pystyvät lataamaan uusia komponentteja verkon ylitse
•  USA:lla on koodikirjasto, josta se voi koota haluamansa
toiminnallisuuden
•  Oletusarvoisesti viruksentorjuntaohjelmat eivät havaitse
uusia versioita
Kybertiedustelu: Rocra, Red October
•  Vakoiluohjelma
•  Levitetään kohdistettuina sähköpostiviesteinä
–  Spear phishing
•  Kohdistettu julkishallintoon ja teollisuuteen
•  Leviää kohdeverkossa, ei julkisen Internetin ylitse
•  Vakoilee "kaikkea mahdollista"
– 
– 
– 
– 
Tiedostot
Näyttö ja näppäimistö
Kohdekoneeseen liitetyt puhelimet
Sähköposti ja webbiselaimen tiedot
•  Tekijä tuntematon
Yhteiskunnan digitaalinen infrastruktuuri
•  Moderni yhteiskunta perustuu digitaalisiin järjestelmiin
•  Sotilasjärjestelmät kohtuullisen suojattuja
–  Tempest, EMP, ELSO...
•  Siviilijärjestelmät ovat paljon huonommin suojattuja, mutta
vaikutukseltaan merkittäviä
–  Asymmetrisessä tilanteessa tarjoavat heikolle hyökkääjälle
mahdollisuuksia
•  Sota on politiikan ja diplomatian jatkamista väkivallan keinoin
–  Jos poliittiset tavoitteet voidaan saavuttaa kohdistamalla
kyberhyökkäys siviili-infrastruktuuriin, aseellinen konflikti käy
tarpeettomaksi
–  Kohde ei välttämättä edes tule tietoiseksi hyökkäyksestä
–  Sodan käsite hämärtyy ja on määriteltävä uudelleen
Kohteena oleva infrastruktuuri
Kriittisiä kyberjärjestelmiä
Edellisistä riippuvia
• 
• 
• 
• 
• 
• 
• 
•  Puolustusteollisuus
•  Posti ja rahti
•  Elintarviketuotanto ja jakelu
•  Yleinen turvallisuus ja
järjestys
•  Terveydenhuolto
•  Valtion johtaminen
Sähkö
Tietoliikenne ja viestintä
Polttoaineet ja energia
Vesihuolto
Finanssisektori
Liikenne
Kemian teollisuus
[YTS] ja [Lewis06] Kriittisen infrastruktuurin seitsemän ikävää
haastetta (Seven wicked problems)
• 
• 
• 
• 
• 
• 
• 
Fyysinen laajuus (vastness)
Epäselvät hallintosuhteet (command)
Tiedon jakaminen (information sharing)
Relevantin tiedon määrä (knowledge)
Osa-alueet riippuvat toisistaan (interdependencies)
Analyysityökalujen puute (inadequate tools)
Konfliktin osapuolten epäsuhta (asymmetric conflict)
Lewis06
Vahinkoa tavoittelevat osapuolet
Uhkaaja
Motivaatio
Tavoite
Valtio
taloudellinen,
vaikutusvalta
vastustajan toimien estäminen,
informaation kerääminen
Rikollisuus
taloudellinen
tiedolla tai vahingolla uhkaaminen
Yritykset
taloudellinen
kilpailijan häiritseminen,
informaation kerääminen
Terroristit
yhteiskuntajärjestyksen muuttaminen
yleinen epäjärjestys, vastustajien
vahingoittaminen
Muut poliittisesti
aktiiviset tahot
(hacktivismi)
valta
vastustajan saaminen huonoon
valoon, informaatio
Utelias ihminen
kokeilunhalu
painella nappuloita ja katsoa mitä
tapahtuu
Työntekijä
oma etu, kosto
taloudellista hyötyä, vahinkoa
organisaatiolle
Kyberasejärjestelmän arkkitehtuuri
•  Modulaarinen, osista koottava suorituskyky
•  Rinnakkaiset prosessit:
–  Teknisten komponenttien kehitys
–  Tiedustelu ja kohteiden valinta
–  Operaatiot ja komponenttien paljastuminen
Modulaarinen kyberase
Dropper-paketti
Ohjausjärjestelmä
- aseen toimintojen hallinta ja kohdistaminen
- raportointi hallintapalvelimille
- lisämodulien nouto, asennus ja käynnistys
Murtautumismodulit
- haavoittuvuudet
Mobiliteetti
& asennus
Hallintapalvelimet
Kiistettävä
yhteys
Lavetti
Taistelukärjet
- tiedustelu
- sabotaasi
- yms.
Kyberase
Operaation
johto
Ehdotus kohteessa toimivan
kyberaseen arkkitehtuuriksi
• 
1. vaiheen kuljetusalusta, "dropper"
– 
– 
• 
• 
Eteneminen kohdeverkossa, jos tarpeen
Virus, mato
Tunnettuja ja uusia murtokeinoja "exploit"
Tiedustelujärjestelmä
Tiedon keruu
Vahingoittaminen
yms.
Häivejärjestelmä
– 
– 
– 
Vaihtuva salaus
Naamioituminen hyötyohjelmaksi
Rootkit (systeemiohjelmien
muokkaaminen)
–  Itsensä poistaminen toiminnan päätyttyä
Ohjausjärjestelmä, "command & control"
– 
Yhteys kohteesta välipalvelimien kautta
ohjauskeskukseen
–  Tietoliikenteen piilottaminen eri keinoin
–  Tai autonominen toiminta
• 
Tähtäysjärjestelmä
– 
– 
– 
Hyökkäyskuorma, "payload"
– 
– 
– 
– 
• 
Saadaan ohjelmakoodi kohteeseen
USB-tikku, sähköposti,
asennusvarmenteiden väärentäminen
2. vaiheen kuljetusalusta
– 
– 
– 
• 
• 
Tunnistaa oikean kohteen
Tunnistaa väärät kohteet
Passiivisuus lisää häivearvoa
Käyttö
– 
– 
– 
– 
– 
– 
Tunnista ja valitse kohde
Huomioi aikataulu ja ulkoiset tekijät, kuten
havaittavuus
Tiedustele ja suunnittele miten
ohjelmakoodi saadaan kohteeseen
Valitse kirjastosta sopiva hyökkäys tai
hyökkäykset
Kokoa ase/hyökkäys komponenteista
Toteuta
Kyberoperaatiot
Weapons assembly
-platform components
-payloads
Module
library
Pla
de usib
nia le
bil
ity
Internet
Operations
center
I
Dropper
C&C
Controller
Entry
host
Actual
target
Mitä Suomen Internetistä löytyy?
•  3700 laitetta
•  60% laitteista on olemassa tunnettu haavoittuvuus
•  Kevät 2013
553
Building automation
97
2818
141
44
Seppo Tiilikainen, Aalto
Industrial devices
Heavy duty
industrial devices
SCADA/large
infrastructures
Automaatio ja tietoturva
•  Tietoturva: suojaa tietoa väärinkäytöksiltä
–  Yleisratkaisu: estä pääsy lukemaan tietoa,
–  Jos lukeminen sallittua, estä tiedon muuttaminen
•  Automaatio toteuttaa prosessia
–  Yleisratkaisu: prosessin on toimittava ja oltava ohjattavissa
kaikissa tilanteissa
–  Turvallisuus suojaa ihmisiä ja laitteita vahingoilta
•  Automaation tietotekninen turvallisuus perustuu
järjestelmien saavuttamattomuuteen
–  Erillään Internetistä
Shodan
•  http://www.shodanhq.com/
•  Hakukone palvelimien protokollatiedolle
•  Mahdollistaa kohteen tunnistamisen sen palveluiden
perusteella
•  Esim:
Kansallinen hakukone KATSE
•  Aallossa toteutetaan Shodania vastaava toiminnallisuus
Suomen verkon kartoittamiseksi
•  Haluamme että tieto pysyy Suomen sisällä
•  Tukee viranomaistoimintaa
•  Palaute järjestelmien omistajille
•  Rajoituksena rikoslain 38. luku ja tietomurto
–  Saamme ottaa yhteyttä verkossa olevaan koneeseen
–  Emme saa kokeilla tunnettuja oletussalasanoja tai haavoittuvuuksia
•  Pyrimme vastaamaan kansallisen kyberturvallisuuden yhteen
ydinkysymykseen:
"Miten haavoittuva Suomi on?"
Kybervaste
Valtioneuvosto
KRP
tutkii rikoksia
HVK
ennakoiva varautuja
CERT-FI
keskeinen viestijä
PV
ei toimivaltaa
rauhan aikana
Kohde
Yksityiset firmat:
osaamista maksavalle
Suomen kyberpuolustus ja -turvallisuus
• 
• 
• 
• 
• 
• 
• 
• 
• 
Kyberturvallisuusstrategia 2013 ja aiempi julkishallinnon linjaus jakaa vastuut
hallinnonaloittain
Viestintäviraston CERT-FI -toiminto kerää ja jakaa tietoa ja toimii aktiivisesti
tietoturvaongelmien ratkaisemisessa
Huoltovarmuuskeskus ohjaa oman toimialansa yrityksiä kehittämään
turvallisuuttaan ja rahoittaa osan CERT-FI:n toiminnasta
N. 80% kriittisestä infrastruktuurista on yksityisen sektorin hallinnassa
Poliisi selvittää rikoksia ja priorisoi rikoksen vakavuuden mukaan
Puolustusvoimat suojaa omat järjestelmänsä ja kehittää sotilaallisia
kyberkykyjä, ei näe itseään toimijana rauhan aikana
Viranomaisilla on omaa analyysikapasitettia, mutta merkittävä osa
hyökkäyksien teknisestä analyysikyvystä on yksityisellä sektorilla
Käytännössä em. tahot tekevät aktiivista yhteistyötä, paljolti ad-hoc-pohjalta
Kyberturvallisuusstrategiassa määriteltyä organisaatiota ei ole vielä testattu
tositoimissa
Pohdintaa:
Puolustuksellinen kyberdoktriini
•  Miltä osin yhteiskunnan kriittinen infrastruktuuri on laillisen
sodankäynnin kohde?
–  Entä jos "plausible deniability" -mahdollisuus on korkea?
–  Puolustaja ei voi olettaa hyökkääjän noudattavan sääntöjä
•  Ovatko sotaa käyvän maan tietojärjestelmät kolmannessa maassa
laillinen kohde?
•  Alueellisen puolustuksen konsepti
–  Siviilisektori hoitaa tämän? Vrt. väestönsuojelu.
•  Onko kyberpelote mielekäs konsepti?
–  Vastaiskun kohdistamisen ongelma
–  Ei taattua vaikutusta, vrt. ydinase
–  Vaikutus perustuu satunnaisiin aukkoihin puolustuksessa
Pohdintaa; Kyberaseiden merkitys
•  Kyberaseiden sotilaallinen merkitys on vasta
avautumassa
–  Kyberaseet eivät miehitä eivätkä pidä kohteita
–  Täsmäkohteissa voi korvata kineettisen hyökkäyksen
–  Käyttö yhdessä konventionaalisen hyökkäyksen kanssa
tukevassa roolissa
•  Analogia: kevyt ratsuväki tai sissit: tiedustelee, häiritsee
ja kuluttaa vastustajaa, suorittaa erikoistehtäviä, mutta ei
voita suuria taisteluita
Kyberoperaatiot
•  Tiedustelu ja iskut
–  Iskujen kohdistaminen edellyttää tiedustelua
–  Vastustajan verkon sammuttaminen sokaisee toimijan
–  Doktriini saattaa korostaa tiedustelukykyä enemmän kuin
iskukykyä
•  Miten arvioidaan ja mitataan operaation tulos?
–  Kohde katosi, onko se tuhottu vai kiristettiinkö palomuuria?
–  Oliko tuloksena toiminnan estäminen vai hidastaminen
Yhteenveto
•  Moderni yhteiskunta on riippuvainen digitaalisista
järjestelmistä
–  Mikä tahansa näistä voi olla hyökkäyksen kohde
•  Kyberoperaatiot ovat jo käynnissä
•  Kybertoiminta on kustannustehokasta ja mahdollistaa
syyllisyyden peittämisen
•  Varsinainen kybersota ei ole todennäköinen
•  Kyberoperaatiot, etenkin tiedustelu, hyvin todennäköisiä
•  Perinteiseen sodankäyntiin tulee rinnalle kyberulottuvuus
Lähteet 1
•  [YTS] Yhteiskunnan turvallisuusstartegia, 2010,
Puolustusministeriö
•  [SAS29] Teollisuusautomaation tietoturva, 2005, Suomen
Automaatioseura ry.
•  [NIST SP 800-82] Guide to Industrial Control Systems (ICS)
Security, SP 800-82, 2011, National Institute of Standards
and Technology
•  [Lewis06] Lewis, Ted G., Critical Infrastructure Protection in
Homeland Security: Defending a Networked Nation, 2006,
Wiley-Interscience
•  [Martino11] Martino, Richard A., Leveraging Traditional Battle
Damage Assessment Procedures to Measure Effects from a
Computer Network Attack (opinnäyte), 2011, Air Force
Institute of Technology
Lähteet 2
•  [Zetter12] Zetter, Kim, Popular Surveillance Cameras Open to
Hackers, Researcher Says, http://www.wired.com/threatlevel/
2012/05/cctv-hack/ , noudettu 16.5.2012
•  [ReadGuard] The Problem With "Cyberwar", RearGuard Podcast,
http://www.rearguardsecurity.com/episodes/4-transcript.html ,
noudettu 12.5.2012
•  [Leyden08] Leyden, John, Polish teen derails tram after hacking
train network, The Register, http://www.theregister.co.uk/
2008/01/11/tram_hack /, noudettu 16.5.2012
•  [Laakso11] Laakso, Henri, Boeing 747:n moottoreita voi ohjata
matkustajan viihdejärjestelmän avulla, MikroPC, http://
www.mikropc.net/kaikki_uutiset/boeing+747n+moottoreita+voi
+ohjata+matkustajan+viihdejarjestelman+avulla/a721826 , noudettu
16.5.2012